Qakbot (alias Qbot) – réseau de circulation de logiciels malveillants bancaires devenus logiciels malveillants/ransomwares – a en fait été observé pour la première fois en 2007 et est actif à ce jour.
La polyvalence sans fin de ce danger est crucial pour sa survie et son succès à long terme.
« Les opérateurs de Qakbot ont tendance à réduire ou à arrêter leurs attaques de spam pendant de longues périodes sur une base saisonnière, en revenant à l’activité avec une suite d’outils modifiée », Chris Formosa et Steve Rudd, chercheurs chez Lumen’s Black Lotus Labs, l’ont noté.
Diffusion de Qakbot
Qakbot se propage principalement par le biais de détournements d’e-mails et de tactiques d’ingénierie sociale.
Une fois qu’il a effectivement sécurisé sa présence sur les appareils cibles, il prend les informations d’identification des utilisateurs, établit des portes dérobées et fournit un accès non approuvé à ces appareils à d’autres cybercriminels. Il est connu pour fournir des logiciels malveillants et des rançongiciels supplémentaires aux hôtes Windows.
« Qakbot alterne ses méthodes d’entrée préliminaire pour garder une longueur d’avance sur le renforcement des politiques de sécurité et l’évolution des défenses », ont expliqué les chercheurs.
Il exploitait auparavant les documents Microsoft Office pour obtenir, mais quand Microsoft a révélé qu’il bloquerait les macros dans les fichiers provenant d’Internet, il est passé à l’utilisation de fichiers OneNote malveillants, à l’évasion Mark of the Web et aux techniques de contrebande HTML.
Un bassin de serveurs C2 en constante évolution
En plus de modifier leurs techniques d’envoi de logiciels malveillants, les opérateurs de Qakbot utilisent également une astuce intéressante pour maintenir leur infrastructure C2 constamment opérationnelle et capable d’échapper aux options de sécurité.
Qakbot maintient la résilience en réaffectant la victime machines en C2. Les scientifiques ont observé que plus de 25 % des C2 ne restent pas actifs plus d’une journée et 50 % ne restent pas actifs plus d’une semaine.
Lutter contre Qakbot
Pour atténuer le risque d’avoir Qakbot/Qbot sur les créateurs d’entreprise, les protecteurs doivent se concentrer sur le renforcement des protections contre les attaques par e-mail en organisant régulièrement des formations sur le phishing et l’ingénierie sociale pour les employés.
Les scientifiques soulignent également l’importance de garder un œil sur les ressources du réseau et d’assurer une gestion correcte des spots.
Toute l’actualité en temps réel, est sur L’Entrepreneur